去年10月，來自美國德州大學奧斯汀分校和斯坦福大學的研究人員分析了各種知名web服務，并發(fā)現暴露給第三方開發(fā)人員的接口存在重大漏洞。亞馬遜和PayPal的支付服務、Trillian即時通訊服務、Chase手機銀行服務和其他web應用程序在它們的SSL（安全套接字層）協(xié)議部署中都存在漏洞，當通過API訪問時，這些應用程序將面臨威脅。

　　其結果是，應用程序可能被誘騙為允許攻擊者通過API訪問客戶數據。研究人員在其報告中表示：“大多數這些漏洞的根本原因是底層SSL庫中API糟糕的設計。”

　　在2012年，API的問題其實就已經引起了一些關注。在11月份，安全研究人員Carlos Reventlov發(fā)現圖片分享服務Instagram中存在一個漏洞，該漏洞將允許中間人攻擊者訪問或者刪除個人的照片。在4月份，微軟研究所發(fā)現Facebook、Google ID和PayPal的單點登陸服務中使用的邏輯存在嚴重漏洞。

　　Solutionary的安全工程技術研究小組（SERT）的威脅分析師Christopher Barber表示，這個問題的解決辦法并不是什么新技術，而是在于對細節(jié)的關注。

　　Barber表示，“部署水平并沒有達到我們期望的水平，非常參差不齊，在軟件開發(fā)中，你必須在某個時間期限內實現某些功能，而安全總是被拋在腦后。”

　　按時完成Web應用程序的壓力，加上部署SSL的復雜性，使創(chuàng)造安全的API非常具有挑戰(zhàn)性。來自這兩所大學的研究人員建議開發(fā)人員應該更加明確應該如何正確地使用其API和SSL庫。此外，云服務應該定期對其代碼進行黑盒測試或者模糊測試，來看看當攻擊者試圖攻擊時應用程序的行為。

　　幫助客戶管理API的公司Layer 7首席技術官K. Scott Morrison表示，就其性質而言，API給web應用程序帶來更大的攻擊風險。“對于攻擊者而言，API是非常有指示性的工具，能夠告訴你應用程序如何運行，”他表示，“它具有自我描述性，能夠為應用程序提供路線圖。”

　　除了正確加密和審計應用程序外，開發(fā)人員還需要考慮身份問題，誰在訪問API以及他們被允許訪問哪些類型的數據。讓問題更加復雜的是，大部分時候是應用程序，而不是特定的人在訪問數據。

　　最后，很多web開發(fā)人員類似黑客的態(tài)度并不是云服務供應商及其客戶對處理API應該采取的方法。Morrison補充說，“我們做了很多重新使用的工作，我們的一些壞習慣也被帶入API世界。不幸的是，這些習慣在網絡世界在API世界將會帶來非常破壞性的影響。”